Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Sammanfattning

I den här artikeln beskrivs hur du aktiverar TLS-protokollversion (Transport Layer Security) version 1,2 i en Microsoft System Center 2016-miljö.

Mer information

Följ de här stegen om du vill aktivera TLS Protocol version 1,2 i System Center-miljön:

  1. Installera uppdateringar från versionen. Kommentarer

    • Service Management Automation (SMA) och Service Provider Foundation (SPF) måste uppgraderas till den senaste samlade uppdateringen eftersom UR4 inte har några uppdateringar för dessa komponenter.

    • För Service Management Automation (SMA) bör du uppgradera till samlad uppdatering 1och även uppdatera SMA Management Pack (MP) från den här webb sidan på Microsoft Download Center.

    • För Service Provider Foundation (SPF) uppgraderar du till samlad uppdatering 2.

    • System Center Virtual Machine Manager (SCVMM) bör uppgraderas till minst den samlade uppdateringen 3.

  2. Se till att installations programmet är det som fungerar innan du använde uppdateringarna. Kontrol lera till exempel om du kan starta konsolen.

  3. Ändra konfigurations inställningarna för att aktivera TLS 1,2.

  4. Kontrol lera att alla nödvändiga SQL Server-tjänster körs.

Installera uppdateringar

Uppdatera aktivitet

SCOM

SCVMM

SCDPMamp;3D

SCO9.4

SMAT5

SPF18.6

SMborttagning

Kontrol lera att alla aktuella säkerhets uppdateringar är installerade för Windows Server 2012 R2 eller Windows Server 2016 

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Kontrol lera att .NET Framework 4,6 är installerat på alla System Center-komponenter

Ja

 

Ja

 

Ja

Ja

Ja

Ja

Ja

Installera den nödvändiga SQL Server-uppdateringen som stöder TLS 1,2

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Installera de System Center 2016-uppdateringar som krävs

Ja

Nej

Ja

Ja

Nej

Nej

Ja

Kontrol lera att certifikat UTFÄRDARnas certifikat är antingen SHA1 eller SHA2

Ja

Ja

Ja

Ja

Ja

Ja

Ja

System Center Operations Manager (SCOM) System Center Virtual Machine Manager (SCVMM) amp;3D System Center Data Protection Manager (SCDPM) 9.4 System Center Orchestrator (SCO) T5 Service Management Automation (SMA) 18.6 Tjänst leverantör Foundation (SPF) borttagning Service Manager (SM)

Ändra konfigurations inställningar

Konfigurations uppdatering

SCOM

SCVMM

SCDPMamp;3D

SCO9.4

SMAT5

SPF18.6

SMborttagning

Inställning i Windows för användning av TLS 1,2-protokollet

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Konfigurera för System Center för att endast använda TLS 1,2-protokollet

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Ytterligare inställningar

Ja

Nej

Ja

Ja

Nej

Nej

Nej

.NET Framework 

Se till att .NET Framework 4,6 är installerat på alla System Center-komponenter. Följde här anvisningarnaom du vill göra detta.

Stöd för TLS 1,2

Installera den nödvändiga SQL Server-uppdateringen som stöder TLS 1,2. Information om hur du gör detta finns i följande artikel i Microsoft Knowledge Base:

3135244 TLS 1,2-stöd för Microsoft SQL Server

Nödvändiga uppdateringar för System Center 2016

SQL Server 2012 Native Client 11,0 bör vara installerat på alla följande System Center-komponenter.

Komponent

Syfte

Nödvändig SQL-drivrutin

Operations Manager

Hanterings Server och webb konsoler

SQL Server 2012 Native Client 11,0 eller Microsoft OLE DB driver 18 för SQL Server (rekommenderas).

Obs! Microsoft OLE DB-drivrutin 18 för SQL Server stöds med Operations Manager 2016 UR9 och senare.

Virtual Machine Manager

(Krävs ej)

(Krävs ej)

Tjänst

Hanterings Server

SQL Server 2012 Native Client 11,0 eller Microsoft OLE DB driver 18 för SQL Server (rekommenderas).

Obs! Microsoft OLE DB-drivrutin 18 för SQL Server stöds med Orchestrator 2016 UR8 och senare.

Data Protection Manager

Hanterings Server

SQL Server 2012 Native Client 11,0

Service chef

Hanterings Server

SQL Server 2012 Native Client 11,0 eller Microsoft OLE DB driver 18 för SQL Server (rekommenderas).

Obs! Microsoft OLE DB-drivrutin 18 för SQL Server stöds med Service Manager 2016 UR9 och senare.

Om du vill ladda ned och installera Microsoft SQL Server 2012 Native Client 11,0 kan du läsa den här webb sidan Microsoft Download Center.

Om du vill ladda ned och installera Microsoft OLE DB driver 18 kan du läsa den här webb sidan till Microsoft Download Center.

För System Center Operations Manager och Service Manager måste odbc 11,0 eller ODBC 13,0 vara installerat på alla hanterings servrar.

Installera de System Center 2016-uppdateringar som krävs från följande Knowledge Base-artikel:

4043305 Beskrivning av Samlad uppdatering 4 för Microsoft System Center 2016  

Komponent

2016

Operations Manager

Samlad uppdatering 4 för System Center 2016 Operations Manager

Service chef

Samlad uppdatering 4 för System Center 2016 Service Manager

Tjänst

Samlad uppdatering 4 för System Center 2016 Orchestrator

Data Protection Manager

Samlad uppdatering 4 för System Center 2016 Data Protection Manager

Obs! Se till att du expanderar fil innehållet och installerar MSP-filen på motsvarande roll.

SHA1-och SHA2-certifikat

System Center-komponenter ger nu upphov till både SHA1-och SHA2 självsignerade certifikat. Detta krävs för att aktivera TLS 1,2. Om CA-signerade certifikat används kontrollerar du att certifikaten är antingen SHA1 eller SHA2.

Ange att Windows ska använda TLS 1,2

Använd någon av följande metoder för att konfigurera Windows för att endast använda TLS 1,2-protokollet.

Metod 1: ändra registret manuellt

Viktigt Följ stegen i det här avsnittet noggrant. Det kan uppstå allvarliga problem om du gör felaktiga ändringar i registret. Innan du ändrar det bör du först säkerhetskopiera registret för att kunna återställa det om problem skulle uppstå.

Följ anvisningarna nedan om du vill aktivera/inaktivera alla SCHANNEL-protokoll systemomfattande. Vi rekommenderar att du aktiverar TLS 1,2-protokollet för inkommande kommunikation. och Aktivera TLS 1,2-, TLS 1,1-och TLS 1,0-protokollen för all utgående kommunikation.

Obs! De här register ändringarna påverkar inte användningen av Kerberos-eller NTLM-protokoll.

  1. Starta Registereditorn. För att göra det, högerklicka på Start, Skriv regedit i rutan Kör och klicka sedan på OK.

  2. Leta upp följande register under nyckel:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Högerklicka på Protocol -tangenten, peka på nyttoch klicka sedan på Key. Registret

  4. Skriv SSL 3och tryck på RETUR.

  5. Upprepa steg 3 och 4 för att skapa nycklar för TLS 0, TLS 1,1 och TLS 1,2. Dessa nycklar liknar kataloger.

  6. Skapa en klient nyckel och en Server nyckel under varje SSL 3-, TLS 1,0-, TLS 1,1-och TLS 1,2 -tangenter.

  7. Om du vill aktivera ett protokoll skapar du DWORD-värdet under varje klient-och Server-följande:

    DisabledByDefault [värde = 0] Enabled [Value = 1] Om du vill inaktivera ett protokoll ändrar du DWORD-värdet under varje klient-och Server-följande:

    DisabledByDefault [värde = 1] Enabled [Value = 0]

  8. Klicka på AvslutaArkiv -menyn.

Metod 2: ändra registret automatiskt

Kör följande Windows PowerShell-skript i administratörs läget för att automatiskt konfigurera Windows för att endast använda TLS 1,2-protokollet:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Ange att System Center endast ska använda TLS 1,2

Ange att System Center endast ska använda TLS 1,2-protokollet. För att göra detta måste du först kontrol lera att alla förutsättningar uppfylls. Sedan kan du göra följande inställningar i System Center-komponenter och alla andra servrar där agenter är installerade.

Använd någon av följande metoder.

Metod 1: ändra registret manuellt

Viktigt Följ stegen i det här avsnittet noggrant. Det kan uppstå allvarliga problem om du gör felaktiga ändringar i registret. Innan du ändrar det bör du först säkerhetskopiera registret för att kunna återställa det om problem skulle uppstå.

Så här aktiverar du installationen så att den stöder TLS 1,2-protokollet:

  1. Starta Registereditorn. För att göra det, högerklicka på Start, Skriv regedit i rutan Kör och klicka sedan på OK.

  2. Leta upp följande register under nyckel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Skapa följande DWORD-värde under denna:

    SchUseStrongCrypto [värde = 1]

  4. Leta upp följande register under nyckel:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Skapa följande DWORD-värde under denna:

    SchUseStrongCrypto [värde = 1]

  6. Starta om systemet.

Metod 2: ändra registret automatiskt

Kör följande Windows PowerShell-skript i administratörs läget för att automatiskt konfigurera System Center för att endast använda TLS 1,2-protokollet:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Ytterligare inställningar

Operations Manager

Management Pack

Importera Management Pack för System Center 2016 Operations Manager. Dessa finns i följande katalog när du har installerat Server uppdateringen:

\Program\Microsoft System Center 2016 \ åtgärd Manager\Server\Management Pack för samlade uppdateringar

ACS-inställningar

För gransknings tjänster (ACS) måste du göra ytterligare ändringar i registret. ACS använder DSN för att ansluta till databasen. Du måste uppdatera DSN-inställningar för att få dem att fungera för TLS 1,2.

  1. Leta upp följande under nyckel för ODBC i registret. Obs! Standard namnet för DSN är OpsMgrAC. ODBC. INI-undernyckeln

  2. Välj posten för DSN-namnet OpsMgrACi data källa för ODBC-datakällor . Det här innehåller namnet på den ODBC-drivrutin som ska användas för databas anslutningen. Om du har ODBC 11,0 installerat kan du ändra namnet till ODBC-drivrutin 11 för SQL Server. Om du har ODBC 13,0 installerat kan du ändra det här namnet till ODBC-drivrutin 13 för SQL Server. Undernyckeln för ODBC-datakällor

  3. Uppdatera driv rutins posten för den ODBS-version som är installerad i OpsMgrAC -under nyckeln. OpsMgrAC-undernyckeln

    • Om ODBC 11,0 är installerat ändrar du driv rutins posten till %windir%\system32\msodbcsql11.dll.

    • Om ODBC 13,0 är installerat ändrar du driv rutins posten till %windir%\system32\msodbcsql13.dll.

    • Du kan också skapa och spara följande. reg-filen i anteckningar eller en annan text redigerare. Dubbelklicka på filen för att köra den sparade. reg-filen. För odbc 11,0skapar du följande ODBC 11.0. reg-fil:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" För odbc 13,0ska du skapa följande ODBC-13.0. reg-fil:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

TLS-härdning i Linux

Följ instruktionerna på den lämpliga webbplatsen för att konfigurera TLS 1,2 i din Red Hat -eller Apache -miljö.

Data Protection Manager

Om du vill att Data Protection Manager ska fungera tillsammans med TLS 1,2 för att säkerhetskopiera till molnet aktiverar du dessa steg på Data Protection Manager-servern.

Tjänst

När du har installerat Orchestrator-uppdateringarna konfigurerar du om Orchestrator-databasen med den befintliga databasen enligt dessa rikt linjer.

 

Åter fri från tredje part

Microsoft tillhandahåller kontakt information från tredje part som hjälper dig att hitta ytterligare information om det här avsnittet. Denna kontaktinformation kan ändras utan föregående meddelande. Microsoft garanterar inte att kontakt informationen är korrekt.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Upptäck Community

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Fråga Microsoft-communityn

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?
Genom att trycka på skicka, kommer din feedback att användas för att förbättra Microsofts produkter och tjänster. IT-administratören kan samla in denna data. Sekretesspolicy.

Tack för din feedback!

×